Certificate Master RBAC

Wenn Benutzer auf SCEPman Certificate Master zugreifen, bestimmt ihre Rolle, welche Aktionen sie ausführen und welche Zertifikate sie sehen können. Die Rollen werden über die Enterprise-Anwendung SCEPman-CertMaster in Microsoft Entra ID (Azure AD) festgelegt. Wenn Sie SCEPman vor Version 2.5 installiert haben, müssen Sie das Complete-SCEPmanInstallation-Cmdlet aus dem SCEPman PS-Modul erneut ausführen, um die Rollen im Microsoft Entra-Portal sehen zu können. Die folgenden Rollen sind verfügbar:

Verfügbare Rollen

• Admin.Full: Mitglieder dieser Rolle können in SCEPman Certificate Master alles tun. Wenn zukünftige Versionen von SCEPman Certificate Master neue Funktionen hinzufügen, haben Mitglieder dieser Rolle Zugriff auf diese Funktionen.

• Manage.All: Mitglieder dieser Rolle können alle Zertifikate sehen und widerrufen. Dies umfasst Zertifikate in der Certificate Master-Datenbank sowie Zertifikate, die über Intune registriert wurden.

• Manage.All.Read: Obwohl Mitglieder alle Zertifikate sehen können, können sie diese nicht widerrufen.

• Manage.Intune: Mitglieder können Zertifikate sehen und widerrufen, die über Intune registriert wurden.

• Manage.Intune.Read: Mitglieder können Zertifikate sehen, die über Intune registriert wurden, sie jedoch nicht widerrufen.

• Manage.Storage: Mitglieder können Zertifikate in der Certificate Master-Datenbank sehen und widerrufen.

• Manage.Storage.Read: Mitglieder können Zertifikate in der Certificate Master-Datenbank sehen, sie jedoch nicht widerrufen.

• Request.All: Mitglieder können alle Arten von Zertifikaten anfordern. Dies umfasst das Einreichen von CSR-Anfragen, die jeglichen Typs sein können. Wenn Benutzer CSR-Anfragen einreichen müssen, ist diese Rolle erforderlich.

• Request.Client: Anfragen sind auf Client-Zertifikate beschränkt, d. h. manuell erstellte Gerätezertifikate. Sie verfügen über die Extended Key Usage (EKU) Client Authentication und einen vom Antragsteller anpassbaren Subject.

• Request.CodeSigning: Anfragen können nur für Code-Signing-Zertifikate gestellt werden.

• Request.Server: Mitglieder können nur Serverzertifikate anfordern. Diese verfügen über die EKU Server Authentication.

• Request.SubCa: Mitglieder können Zertifikate für untergeordnete CAs (Subordinate CAs) anfordern. Die Extended Key Usage beschränkt diese CAs jedoch darauf, nur Server Authentication-Zertifikate auszustellen. Dies ermöglicht ihre Verwendung für TLS-Interception, wie sie in Firewalls angewendet wird, aber nicht für andere Zwecke. Dies ist eine Sicherheitsfunktion. Wenn Sie eine untergeordnete CA für andere Zwecke benötigen, müssen Sie eine CSR erstellen und diese an den Certificate Master übermitteln, wofür die Request.All Rolle erforderlich ist.

• Request.User: Mitglieder können nur Benutzerzertifikate anfordern. Diese verfügen über die EKU Client Authentication und einen vom Antragsteller gewählten UPN. Ab SCEPman 2.6 ist auch die EKU Smart Card Logon möglich. Beachten Sie, dass jemand mit dieser Rolle Zertifikate für andere Benutzer anfordern kann. Wenn Sie zertifikatbasierte Authentifizierung in AD oder AAD aktiviert haben und die SCEPman-CA hierfür in AD oder AAD als vertrauenswürdig hinzugefügt wurde, kann dies zur Nachahmung (Impersonation) anderer Benutzer genutzt werden.

Rollenzuweisung

1

Navigieren Sie zu SCEPman-CertMaster

Azure > Enterprise Applications > Filter löschen > SCEPman-CertMaster

2

Weisen Sie einen Benutzer/Gruppen zu

Navigieren Sie zu Verwalten > Benutzer und Gruppen und wählen Sie Ihre gewünschten Administratoren und deren Rolle aus. Drücken Sie "Zuweisen", sobald Administratoren und Rollen ausgewählt wurden.

3

Leeren Sie den Cache Ihres Webbrowsers (optional)

In einigen Fällen können die Berechtigungen eines Administrators gleich aussehen, auch nachdem sich seine Berechtigungen geändert haben. Alle Certificate Master-Cookies sollten gelöscht werden, um dieses Problem zu umgehen.